会员服务
工具 · 结构 · 令牌 · 结构性 · 攻击 ·
2 月 16 日
Overthinking Loops in Agents: A Structural Risk via MCP Tools
翻译:基于MCP工具的智能体过度思考循环:一种结构性风险
Yohan Lee,Jisoo Jang,Seoyeon Choi,Sangyeop Kim,Seungtaek Choi
Yohan Lee,Jisoo Jang,Seoyeon Choi,Sangyeop Kim,Seungtaek Choi

Tool-using LLM agents increasingly coordinate real workloads by selecting and chaining third-party tools based on text-visible metadata such as tool names, descriptions, and return messages. We show that this convenience creates a supply-chain attack surface: a malicious MCP tool server can be co-registered alongside normal tools and induce overthinking loops, where individually trivial or plausible tool calls compose into cyclic trajectories that inflate end-to-end tokens and latency without any single step looking abnormal. We formalize this as a structural overthinking attack, distinguishable from token-level verbosity, and implement 14 malicious tools across three servers that trigger repetition, forced refinement, and distraction. Across heterogeneous registries and multiple tool-capable models, the attack causes severe resource amplification (up to $142.4\times$ tokens) and can degrade task outcomes. Finally, we find that decoding-time concision controls do not reliably prevent loop induction, suggesting defenses should reason about tool-call structure rather than tokens alone.


翻译:使用工具的LLM智能体正日益通过基于文本可见的元数据(如工具名称、描述和返回消息)来选择和链接第三方工具,以协调实际工作负载。我们证明,这种便利性会创建一个供应链攻击面:恶意的MCP工具服务器可以与正常工具一同注册,并诱发过度思考循环。在这种循环中,单个看似微不足道或合理的工具调用会组合成循环轨迹,从而在没有单个步骤显得异常的情况下,推高端到端的令牌消耗和延迟。我们将此形式化为一种结构性过度思考攻击,以区别于令牌层面的冗余冗长,并在三个服务器上实现了14个恶意工具,这些工具会触发重复、强制细化和注意力分散。在异构注册中心和多个支持工具的模型上,该攻击会导致严重的资源放大(令牌消耗最高可达$142.4\times$),并可能降低任务完成质量。最后,我们发现解码时的简洁性控制并不能可靠地防止循环诱导,这表明防御措施应当对工具调用结构进行推理,而不仅仅关注令牌。
0
下载
关闭预览

相关内容

大语言模型智能体(LLM Agents)工具调用的演进:从单工具调用到多工具协同编排
大语言模型智能体(LLM Agents)工具调用的演进:从单工具调用到多工具协同编排
专知会员服务
27+阅读 · 4月6日
从静态模板到动态运行时图:大语言模型智能体(LLM Agents)工作流优化综述
从静态模板到动态运行时图:大语言模型智能体(LLM Agents)工作流优化综述
专知会员服务
20+阅读 · 3月30日
最新新Agent综述!76页327篇论文梳理,北交大桑基韬教授团队发布《迈向模型原生智能体式人工智能的范式转变综述》
最新新Agent综述!76页327篇论文梳理,北交大桑基韬教授团队发布《迈向模型原生智能体式人工智能的范式转变综述》
专知会员服务
40+阅读 · 2025年10月17日
基于大语言模型的智能体易产生幻觉:分类体系、方法与未来方向综述
基于大语言模型的智能体易产生幻觉:分类体系、方法与未来方向综述
专知会员服务
31+阅读 · 2025年9月27日
【新书】AI智能体与应用:基于 LangChain、LangGraph 与 MCP
【新书】AI智能体与应用:基于 LangChain、LangGraph 与 MCP
专知会员服务
64+阅读 · 2025年9月12日
AgentOps综述:分类、挑战与未来方向
AgentOps综述:分类、挑战与未来方向
专知会员服务
38+阅读 · 2025年8月6日
基于大模型的智能体中由自主性引发的安全风险综述
基于大模型的智能体中由自主性引发的安全风险综述
专知会员服务
18+阅读 · 2025年7月1日
大语言模型驱动的AI智能体通信综述:协议、安全风险与防御对策
大语言模型驱动的AI智能体通信综述:协议、安全风险与防御对策
专知会员服务
29+阅读 · 2025年6月25日
《基于MCP的软件设计模式视角下的大型语言模型智能体通信研究综述》
《基于MCP的软件设计模式视角下的大型语言模型智能体通信研究综述》
专知会员服务
44+阅读 · 2025年6月9日
上交大推出首个AI智能体协议全面综述:从碎片化到互联互通的智能体网络
上交大推出首个AI智能体协议全面综述:从碎片化到互联互通的智能体网络
专知会员服务
25+阅读 · 2025年4月30日
【美海军·系统顶点项目报告】《用于防空和导弹防御的自动作战管理辅助工具(AI)的安全风险评估》162页PDF
【美海军·系统顶点项目报告】《用于防空和导弹防御的自动作战管理辅助工具(AI)的安全风险评估》162页PDF
专知
38+阅读 · 2022年10月19日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
90+阅读 · 2022年4月17日
【干货书】MLOps是什么?MLOps实战:操作机器学习模型,461页pdf
【干货书】MLOps是什么?MLOps实战:操作机器学习模型,461页pdf
专知
15+阅读 · 2022年2月16日
语义鸿沟、异构鸿沟、数据缺失,多模态技术如何跨过这些坎?
语义鸿沟、异构鸿沟、数据缺失,多模态技术如何跨过这些坎?
AI前线
15+阅读 · 2019年3月21日
PlaNet 简介:用于强化学习的深度规划网络
PlaNet 简介:用于强化学习的深度规划网络
谷歌开发者
13+阅读 · 2019年3月16日
Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具
Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具
黑白之道
17+阅读 · 2019年2月27日
NetworkMiner - 网络取证分析工具
NetworkMiner - 网络取证分析工具
黑白之道
16+阅读 · 2018年6月29日
【深度干货】专知主题链路知识推荐#7-机器学习中似懂非懂的马尔科夫链蒙特卡洛采样(MCMC)入门教程02
【深度干货】专知主题链路知识推荐#7-机器学习中似懂非懂的马尔科夫链蒙特卡洛采样(MCMC)入门教程02
专知
15+阅读 · 2017年9月24日
【深度干货】专知主题链路知识推荐#5-机器学习中似懂非懂的马尔科夫链蒙特卡洛采样(MCMC)入门教程01
【深度干货】专知主题链路知识推荐#5-机器学习中似懂非懂的马尔科夫链蒙特卡洛采样(MCMC)入门教程01
专知
14+阅读 · 2017年9月23日
【强化学习】强化学习+深度学习=人工智能
【强化学习】强化学习+深度学习=人工智能
产业智能官
55+阅读 · 2017年8月11日
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
面向动态演化的网构软件失效机理与测评方法
国家自然科学基金
1+阅读 · 2015年12月31日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
群智感知中基于可信交互的细粒度众包机制研究
国家自然科学基金
1+阅读 · 2015年12月31日
复杂系统中多密码算法密钥协同安全研究
国家自然科学基金
0+阅读 · 2015年12月31日
具有动态不确定性的下三角多智能体系统分布式自适应协同控制
国家自然科学基金
3+阅读 · 2015年12月31日
工业过程动态数据的多模型在线重构研究
国家自然科学基金
1+阅读 · 2015年12月31日
过程感知信息系统的跨组织业务过程建模与分析研究
国家自然科学基金
0+阅读 · 2014年12月31日
多智能体系统的可控性与群可控性研究
国家自然科学基金
10+阅读 · 2013年12月31日
基于群体智能的多Agent协作模型与适应性研究
国家自然科学基金
18+阅读 · 2009年12月31日
stratum: A System Infrastructure for Massive Agent-Centric ML Workloads
Arxiv
0+阅读 · 3月5日
XAgen: An Explainability Tool for Identifying and Correcting Failures in Multi-Agent Workflows
Arxiv
0+阅读 · 3月4日
AgentSentry: Mitigating Indirect Prompt Injection in LLM Agents via Temporal Causal Diagnostics and Context Purification
Arxiv
0+阅读 · 2月26日
Skill-Inject: Measuring Agent Vulnerability to Skill File Attacks
Arxiv
0+阅读 · 2月25日
Agentic AI as a Cybersecurity Attack Surface: Threats, Exploits, and Defenses in Runtime Supply Chains
Arxiv
0+阅读 · 2月23日
Gecko: A Simulation Environment with Stateful Feedback for Refining Agent Tool Calls
Arxiv
0+阅读 · 2月22日
Wink: Recovering from Misbehaviors in Coding Agents
Arxiv
0+阅读 · 2月19日
Rethinking the Role of Entropy in Optimizing Tool-Use Behaviors for Large Language Model Agents
Arxiv
0+阅读 · 2月18日
IntentMiner: Intent Inversion Attack via Tool Call Analysis in the Model Context Protocol
Arxiv
0+阅读 · 2月16日
MalTool: Malicious Tool Attacks on LLM Agents
Arxiv
0+阅读 · 2月12日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
工具
结构
令牌
结构性
攻击
最新内容
【CMU博士论文】物理世界的视觉感知与深度理解
【CMU博士论文】物理世界的视觉感知与深度理解
专知会员服务
0+阅读 · 今天14:36
多智能体系统:从经典范式到大基础模型驱动的未来
多智能体系统:从经典范式到大基础模型驱动的未来
专知会员服务
1+阅读 · 今天14:33
伊朗战争停火期间美军关键弹药状况分析
伊朗战争停火期间美军关键弹药状况分析
专知会员服务
6+阅读 · 今天11:13
电子战革命:塑造战场的十年突破(2015–2025)
电子战革命:塑造战场的十年突破(2015–2025)
专知会员服务
4+阅读 · 今天9:19
人工智能赋能电子战解决方案:实现电磁优势的认知方法(万字长文)
人工智能赋能电子战解决方案:实现电磁优势的认知方法(万字长文)
专知会员服务
5+阅读 · 今天9:00
《基于模型的系统工程框架及其在电子战系统中的应用》
《基于模型的系统工程框架及其在电子战系统中的应用》
专知会员服务
4+阅读 · 今天8:27
人工智能即服务与未来战争(印度视角)
人工智能即服务与未来战争(印度视角)
专知会员服务
2+阅读 · 今天7:57
《将量子技术集成到移动军事系统与战术作战中心框架》
《将量子技术集成到移动军事系统与战术作战中心框架》
专知会员服务
4+阅读 · 今天7:53
《美国战争部2027财年军事人员预算》
《美国战争部2027财年军事人员预算》
专知会员服务
2+阅读 · 今天7:44
伊朗战争中的电子战
伊朗战争中的电子战
专知会员服务
5+阅读 · 今天7:04
大语言模型平台在国防情报应用中的对比
大语言模型平台在国防情报应用中的对比
专知会员服务
8+阅读 · 今天3:12
美陆军“增强任务分析”实验:将人工智能集成到军事决策流程中
美陆军“增强任务分析”实验:将人工智能集成到军事决策流程中
专知会员服务
6+阅读 · 今天3:00
《面向安全态势自适应决策的情报信息系统与机器学习算法研究》
《面向安全态势自适应决策的情报信息系统与机器学习算法研究》
专知会员服务
5+阅读 · 今天2:56
《杀伤链中人类判断的终结?论AI智能体对主动权与解释权的重置》
《杀伤链中人类判断的终结?论AI智能体对主动权与解释权的重置》
专知会员服务
5+阅读 · 今天2:44
《仿真互操作性标准:实时平台参考联邦对象模型指南、原理与互操作性模式标准》300页
《仿真互操作性标准:实时平台参考联邦对象模型指南、原理与互操作性模式标准》300页
专知会员服务
9+阅读 · 今天2:37
相关VIP内容
大语言模型智能体(LLM Agents)工具调用的演进:从单工具调用到多工具协同编排
大语言模型智能体(LLM Agents)工具调用的演进:从单工具调用到多工具协同编排
专知会员服务
27+阅读 · 4月6日
从静态模板到动态运行时图:大语言模型智能体(LLM Agents)工作流优化综述
从静态模板到动态运行时图:大语言模型智能体(LLM Agents)工作流优化综述
专知会员服务
20+阅读 · 3月30日
最新新Agent综述!76页327篇论文梳理,北交大桑基韬教授团队发布《迈向模型原生智能体式人工智能的范式转变综述》
最新新Agent综述!76页327篇论文梳理,北交大桑基韬教授团队发布《迈向模型原生智能体式人工智能的范式转变综述》
专知会员服务
40+阅读 · 2025年10月17日
基于大语言模型的智能体易产生幻觉:分类体系、方法与未来方向综述
基于大语言模型的智能体易产生幻觉:分类体系、方法与未来方向综述
专知会员服务
31+阅读 · 2025年9月27日
【新书】AI智能体与应用:基于 LangChain、LangGraph 与 MCP
【新书】AI智能体与应用:基于 LangChain、LangGraph 与 MCP
专知会员服务
64+阅读 · 2025年9月12日
AgentOps综述:分类、挑战与未来方向
AgentOps综述:分类、挑战与未来方向
专知会员服务
38+阅读 · 2025年8月6日
基于大模型的智能体中由自主性引发的安全风险综述
基于大模型的智能体中由自主性引发的安全风险综述
专知会员服务
18+阅读 · 2025年7月1日
大语言模型驱动的AI智能体通信综述:协议、安全风险与防御对策
大语言模型驱动的AI智能体通信综述:协议、安全风险与防御对策
专知会员服务
29+阅读 · 2025年6月25日
《基于MCP的软件设计模式视角下的大型语言模型智能体通信研究综述》
《基于MCP的软件设计模式视角下的大型语言模型智能体通信研究综述》
专知会员服务
44+阅读 · 2025年6月9日
上交大推出首个AI智能体协议全面综述:从碎片化到互联互通的智能体网络
上交大推出首个AI智能体协议全面综述:从碎片化到互联互通的智能体网络
专知会员服务
25+阅读 · 2025年4月30日
热门VIP内容
相关资讯
【美海军·系统顶点项目报告】《用于防空和导弹防御的自动作战管理辅助工具(AI)的安全风险评估》162页PDF
【美海军·系统顶点项目报告】《用于防空和导弹防御的自动作战管理辅助工具(AI)的安全风险评估》162页PDF
专知
38+阅读 · 2022年10月19日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
90+阅读 · 2022年4月17日
【干货书】MLOps是什么?MLOps实战:操作机器学习模型,461页pdf
【干货书】MLOps是什么?MLOps实战:操作机器学习模型,461页pdf
专知
15+阅读 · 2022年2月16日
语义鸿沟、异构鸿沟、数据缺失,多模态技术如何跨过这些坎?
语义鸿沟、异构鸿沟、数据缺失,多模态技术如何跨过这些坎?
AI前线
15+阅读 · 2019年3月21日
PlaNet 简介:用于强化学习的深度规划网络
PlaNet 简介:用于强化学习的深度规划网络
谷歌开发者
13+阅读 · 2019年3月16日
Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具
Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具
黑白之道
17+阅读 · 2019年2月27日
NetworkMiner - 网络取证分析工具
NetworkMiner - 网络取证分析工具
黑白之道
16+阅读 · 2018年6月29日
【深度干货】专知主题链路知识推荐#7-机器学习中似懂非懂的马尔科夫链蒙特卡洛采样(MCMC)入门教程02
【深度干货】专知主题链路知识推荐#7-机器学习中似懂非懂的马尔科夫链蒙特卡洛采样(MCMC)入门教程02
专知
15+阅读 · 2017年9月24日
【深度干货】专知主题链路知识推荐#5-机器学习中似懂非懂的马尔科夫链蒙特卡洛采样(MCMC)入门教程01
【深度干货】专知主题链路知识推荐#5-机器学习中似懂非懂的马尔科夫链蒙特卡洛采样(MCMC)入门教程01
专知
14+阅读 · 2017年9月23日
【强化学习】强化学习+深度学习=人工智能
【强化学习】强化学习+深度学习=人工智能
产业智能官
55+阅读 · 2017年8月11日
相关论文
stratum: A System Infrastructure for Massive Agent-Centric ML Workloads
Arxiv
0+阅读 · 3月5日
XAgen: An Explainability Tool for Identifying and Correcting Failures in Multi-Agent Workflows
Arxiv
0+阅读 · 3月4日
AgentSentry: Mitigating Indirect Prompt Injection in LLM Agents via Temporal Causal Diagnostics and Context Purification
Arxiv
0+阅读 · 2月26日
Skill-Inject: Measuring Agent Vulnerability to Skill File Attacks
Arxiv
0+阅读 · 2月25日
Agentic AI as a Cybersecurity Attack Surface: Threats, Exploits, and Defenses in Runtime Supply Chains
Arxiv
0+阅读 · 2月23日
Gecko: A Simulation Environment with Stateful Feedback for Refining Agent Tool Calls
Arxiv
0+阅读 · 2月22日
Wink: Recovering from Misbehaviors in Coding Agents
Arxiv
0+阅读 · 2月19日
Rethinking the Role of Entropy in Optimizing Tool-Use Behaviors for Large Language Model Agents
Arxiv
0+阅读 · 2月18日
IntentMiner: Intent Inversion Attack via Tool Call Analysis in the Model Context Protocol
Arxiv
0+阅读 · 2月16日
MalTool: Malicious Tool Attacks on LLM Agents
Arxiv
0+阅读 · 2月12日
相关基金
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
面向动态演化的网构软件失效机理与测评方法
国家自然科学基金
1+阅读 · 2015年12月31日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
群智感知中基于可信交互的细粒度众包机制研究
国家自然科学基金
1+阅读 · 2015年12月31日
复杂系统中多密码算法密钥协同安全研究
国家自然科学基金
0+阅读 · 2015年12月31日
具有动态不确定性的下三角多智能体系统分布式自适应协同控制
国家自然科学基金
3+阅读 · 2015年12月31日
工业过程动态数据的多模型在线重构研究
国家自然科学基金
1+阅读 · 2015年12月31日
过程感知信息系统的跨组织业务过程建模与分析研究
国家自然科学基金
0+阅读 · 2014年12月31日
多智能体系统的可控性与群可控性研究
国家自然科学基金
10+阅读 · 2013年12月31日
基于群体智能的多Agent协作模型与适应性研究
国家自然科学基金
18+阅读 · 2009年12月31日
Top
微信扫码咨询专知VIP会员
Top